Strefa wolna od botów!
Piszemy my, nie maszyny.

Jaka jest różnica między drużyną czerwoną i drużyną niebieską w pentestingu?

Branża cybersecurity to w ostatnich latach gałąź sektora IT, który rozwija się w sposób najbardziej dynamiczny. Nic w tym dziwnego. Cyberzagrożenia stanowią poważny problem, który stawia na szali nie tylko bezpieczeństwo użytkowników, ale też reputację samej firmy. Dlatego też pentesting wraz z podziałem na dwie specyficzne drużyny stanowi obszar ogólnego zainteresowania. Czym jest pentesting i czym charakteryzują się dwie drużyny?

 

 

Pentesting – czym jest?

 

Pentesting, często nazywany także obszarem testów penetracyjnych stanowi coraz częstszy obiekt zainteresowania firm z branży IT i nie tylko, które są świadome niebezpieczeństwa związanego z dużą ekspozycją procesów biznesowych na ataki hakerskie. To prowadzi do organizowania zespołów, których celem jest testowanie zabezpieczeń informatycznych w specyficzny sposób. Jaki? Włamując się do nich w sposób kontrolowany.

Pentesterzy mają za zadanie ocenić faktyczny stan zabezpieczeń infrastruktury informatycznej i korzystając z całej swojej wiedzy włamać się do niego. Pentesting realizowany jest nie tylko w odniesieniu do dużych, korporacyjnych systemów informatycznych, ale także dla aplikacji desktopowych, mobilnych czy sieci firmowych. W toku procesów pentestingowych najczęściej dochodzi do ujawnienia słabości systemów, wynikających z luk systemu, nieodpowiednich mechanizmów zabezpieczania infrastruktury czy błędów ludzkich, które stanowią największe ryzyko w dzisiejszych czasach. Etyczny hacking cieszy się coraz większą popularnością i już dzisiaj w biznesie wzrasta świadomość, że tylko taki sposób testowania zabezpieczeń w realny sposób zapobiegnie realnemu zagrożeniu.

 

 

Dlaczego istnieje podział na drużyny?

 

Pentesting to dziedzina, która w branży IT jest relatywnie młoda w Polsce, ale też na świecie. Jednak już teraz coraz częściej wdraża się w organizacji firmy podejście do ciągłego rozwoju zespołów pentestingowych, między innymi poprzez stosowanie podziału na dwie drużyny – drużynę niebieską i drużynę czerwoną.

Czym jest ten podział? W dużym skrócie drużyna czerwona ma za zadanie przedostać się do systemu i poczynić konkretne zmiany lub wykraść określony wolumen danych. Drużyna niebieska natomiast robi wszystko, by nie dopuścić do realizacji ataku. Bez względu na przynależność do koloru, obie drużyny działają w jednym, wspólnym celu – zabezpieczenie infrastruktury informatycznej przed realnym, zewnętrznym zagrożeniem hakerów.

Takie podejście do organizacji pracy pentesterów może wydawać się bardzo specyficzne. Przemawia jednak za tym szereg argumentów, takich jak:

  • Efektywne poszukiwanie wszelkich luk w zabezpieczeniach;
  • Realne wzmocnienie zabezpieczeń infrastruktury IT;
  • Praktyczne podejście do opracowania procedur awaryjnych;
  • Priorytetyzacja zadań związanych z uszczelnieniem systemu IT;
  • Wzrost kompetencji pentesterów;
  • Zwiększenie zaangażowania pracowników branży cybersecurity poprzez stosowanie zasad zdrowej konkurencji i współzawodnictwa. 

 

 

Za co odpowiada drużyna czerwona

 

Czas zagłębić się w szczegóły. Czym dokładnie zajmuje się drużyna czerwona w zespole pentesterów? Red team ma uosabiać rolę prawdziwych atakujących, których celem jest zidentyfikowanie wszystkich luk w zabezpieczeniach, uzyskanie niezbędnych dostępów i wykonanie możliwie jak największych zniszczeń w samym systemie. Czasem rola sprowadza się do wykradzenia konkretnych danych. Czasem może to być kwestia usunięcia lub edycji danych. W innym przypadku celem zespołu czerwonego może być zastosowanie niszczycielskiego oprogramowania.

Osoby należące do drużyny czerwonej powinny przestawić się na tok myślenia hakera, wykorzystując wszelkie dostępne metody i narzędzia (doskonały przykład to Kali Linux). Członkowie zespołu czerwonego powinni zatem charakteryzować się nie tylko twardymi umiejętnościami IT, jak kryptografia, programowanie, znajomość narzędzi hakerskich, ale też znajomością schematów zabezpieczeń i kreatywnością, która stanowi największą broń w ręku wykwalifikowanego hakera.

 

 

Za co odpowiada drużyna niebieska

 

Dość o drużynie czerwonej. Co zatem leży w gestii drużyny niebieskiej? To swoistego rodzaju formacja defensywna, która za wszelką cenę stara się chronić wszystkie, a w podbramkowej sytuacji te najbardziej krytyczne z punktu widzenia prowadzonej działalności zasoby przed atakiem.

Do stałych zadań drużyny niebieskiej należy stałe monitorowanie potencjału zabezpieczeń infrastruktury IT oraz reagowanie na wszelkie incydenty i naruszenia bezpieczeństwa, które być może teraz nieistotne, już w najbliższej przyszłości staną się powodem poważnych ataków drużyny czerwonej. W ramach podstawowych działań drużyny niebieskiej wymienia się:

  • Monitoring aktywności sieci firmowej;
  • Realizacja audytów DNS;
  • Wykonywanie analizy śladu;
  • Bieżąca konfiguracja zabezpieczeń i zapór bezpieczeństwa

Członkowie zespołu niebieskiego, podobnie jak oponenci powinni być wyposażeni w wiedzę z zakresu cyberbezpieczeństwa, kryptografii, programowania. Dodatkowo specjaliści blue team powinni także charakteryzować się doświadczeniem z zakresu oceny ryzyka oraz przewidywania potencjalnych schematów, wedle jakich hakerzy zewnętrzni będą starali się sforsować zabezpieczenia firmy.

 

 

Jakie działania zachodzą między drużyną czerwoną, a drużyną niebieską?

 

Standardowa rywalizacja pomiędzy drużyną czerwoną i niebieską stanowi fundamentalny proces obszaru pentestingu, który w praktyce zapewnia ochronę przed realnymi zagrożeniami z zewnątrz. Coraz częściej możemy przeczytać o dodatkowym wzbogaceniu procesu, poprzez wprowadzenie drużyny purpurowej, pomarańczowej, zielonej i żółtej, które także charakteryzują się swoimi rolami i celami.

Pozostając jednak przy tradycyjnym modelu dwóch drużyn – jakie interakcje zachodzą pomiędzy nimi? Najważniejsza jest komunikacja – to ona właśnie stanowi o rozwoju kompetencji całego zespołu i zwiększa faktyczne bezpieczeństwo infrastruktury IT. To, jakie działania zachodzą pomiędzy dwoma zespołami, zależy przede wszystkim od specyfiki testu.

Niektóre testy mogą służyć skupieniu się na konkretnych zagrożeniach. To sytuacja, w której zespół czerwony poinformuje oponentów o charakterze ataku i pomoże dobrać strategię skutecznej obrony. W innych sytuacjach współpraca nie jest wskazana i obie drużyny będą działały incognito – po to by wygrać. Bardzo istotne jest, by firma inwestująca w dział penstestingowy żonglowała formami testów tak, by pokryć możliwie jak największe repozytorium ryzyk występujących w realnym świecie.

Porozmawiajmy!

    Wypełnij formularz,
    a my pomożemy Ci wdrożyć najnowsze rozwiązania!